Swisscom verlangt Selfie und ID-Kopie für Passwort-Wechsel
Will man sein Passwort zurücksetzen, verlangt die Swisscom weit mehr als üblich. Man muss die ID scannen und ein Selfie schicken.
Das Wichtigste in Kürze
- Um ihr Passwort zurückzusetzen, musste eine Swisscom-Kundin ein Selfie machen.
- Das passiere Kunden, die keinen zweiten Passwort-Vergessenskanal hätten, so die Swisscom.
- Grund dafür: schützenswerte Daten auf dem My-Swisscom-Portal.
Eine Kundin von Swisscom staunte nicht schlecht, als sie sich vor Kurzem auf dem Kundenportal My Swisscom einloggen wollte.
Der Grund: Um ihr Passwort zurücksetzen zu lassen, musste die junge Frau eine beidseitige ID-Kopie hochladen. Und ein Selfie von sich machen!
Alles nur, weil sie ihre monatliche Papier-Rechnung verloren hatte – und die digitale Version bezahlen wollte.
Passwort vergessen
Aber von vorne. Die langjährige Swisscom-Kundin Lorena B.* loggte sich über Jahre hinweg immer via Handynummer auf das My-Swisscom-Portal ein.
Diese Anmeldeform wurde nun gestrichen. Neuerdings muss man sich mit Nutzername und Passwort einloggen.
Gegenüber Nau.ch sagt sie: «Ich hatte mich jahrelang nicht mehr mit meinem Nickname und Passwort eingeloggt. Darum konnte ich mich nicht mehr an das Passwort erinnern.»
Lorena B. berichtet: «Deshalb habe ich ‹Passwort vergessen› angewählt.»
Doch: Danach sei ihr kein Mail mit einem neuen Passwort oder ein Link zur Passwort-Zurücksetzung zugesandt worden.
Stattdessen sei sie darüber informiert worden, dass sie zuerst ihre Identität bestätigen müsse.
ID von beiden Seiten fotografieren
In Eile klickt Lorena B. auf Ja, denn: «Ich wollte einfach nur so schnell wie möglich ein neues Passwort. Darüber, was ‹Identität bestätigen› bedeutet, habe ich nicht weiter nachgedacht.»
Deshalb ist die langjährige Kundin dann auch überrascht, als sie beide Seiten ihrer ID fotografieren soll.
«Ich war etwas perplex und habe mich gefragt, ob da tatsächlich alles mit rechten Dingen zugeht.»
Swisscom verlangt sogar ein Selfie
Lorena B. stellt erst sicher, dass sie tatsächlich auf der Swisscom-Seite ist und nicht einem Betrug zum Opfer fällt. Erst danach lädt sie die zwei Fotos ihrer ID auf das Portal hoch.
Dann die nächste Überraschung: «Als nächsten Schritt verlangten sie ein Selfie von mir. So etwas musste ich bei einer Passwort-Zurücksetzung noch nirgends tun.»
Was steckt hinter der intensiven Sicherheitsprüfung? Nau.ch hat bei der Swisscom nachgefragt.
ID-Kopie und Selfie nicht für alle Kunden
Man habe eine Umstellung der Log-in-Mechanismen vorgenommen, erklärt Mediensprecherin Annina Merk.
«Wir wollen unseren Kunden eine möglichst einfache und sichere Lösung bieten. Deshalb werden die Mechanismen laufend angepasst.»
Nicht alle Kundinnen und Kunden müssten ihre ID hochladen und ein Selfie schiessen. «Die Kunden kommen nur in den ID-Scan-Prozess, wenn ihr Swisscom-Log-in mit zwei Faktoren geschützt ist.»
Dieser doppelte Schutz werde von den Kundinnen und Kunden selbst angewählt. Wer aber nur einen «Passwort-Vergessenskanal» hinterlegt habe, müsse sich dann halt anders verifizieren lassen.
Denn: «Beim Zurücksetzen des Passworts benötigen wir zwei Faktoren, die bestätigen, dass es der korrekte Kunde ist.»
Doch ist das wirklich sinnvoll?
Datenschützerin lobt
Ja, findet die Sprecherin des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten.
«Eine Authentisierung mit ID und Selfie wird im Sinne der Datensicherheit als grundsätzlich effektiv eingestuft. Es entspricht dem aktuellen Stand der entsprechenden Technik.»
Zudem handle es sich bei den Daten auf dem Kundenportal um Daten mit hohem Schutzbedarf. Das gelte «insbesondere für die Verbindungsnachweise». Diese seien auf der Plattform einsehbar und unterstehen dem Fernmeldegeheimnis.
* Name der Redaktion bekannt
